日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Uproot:使用powershell編寫(xiě)基于主機(jī)的IDS

概述

創(chuàng)新互聯(lián)公司是一家集網(wǎng)站建設(shè),冷水灘企業(yè)網(wǎng)站建設(shè),冷水灘品牌網(wǎng)站建設(shè),網(wǎng)站定制,冷水灘網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷(xiāo),網(wǎng)絡(luò)優(yōu)化,冷水灘網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力??沙浞譂M(mǎn)足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專(zhuān)業(yè)、時(shí)尚、前沿,時(shí)刻以成就客戶(hù)成長(zhǎng)自我,堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

Uproot是一款基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS),其利用持續(xù)運(yùn)行的Windows管理規(guī)范服務(wù)(WMI)事件訂閱,在一個(gè)網(wǎng)絡(luò)中檢測(cè)惡意行為。更多有關(guān)WMI事件訂閱可以參見(jiàn)WMIEventing Module

為達(dá)到最佳效果,建議使用Uproot的AS_GenericHTTP consumer以及Uproot Listening Post提取事件,將系統(tǒng)日志聚合一起,再用Splunk進(jìn)行處理。

注意:Uproot最好是在powershell版本>=v3環(huán)境下使用,當(dāng)然你也可以在PowerShell v2下使用,只是功能方面會(huì)大打折扣。微軟從Windows NT 4.0和Windows 95時(shí)代一來(lái)一貫堅(jiān)持著可恨又可愛(ài)的WMI,正因如此對(duì)于Windows NT 4.0之后的版本我們都可以使用Uproot

Cmdlets

簽名設(shè)置 - 預(yù)建的filters,consumers,subscriptions設(shè)置

Install-UprootSignature - 在指定計(jì)算機(jī)上增加預(yù)建的簽名(設(shè)置filters和consumers).

Uproot Listening Post

Uproot項(xiàng)目包括了一個(gè)可用作Listening Post(在網(wǎng)絡(luò)中聚合并轉(zhuǎn)發(fā)事件)的服務(wù)執(zhí)行,Listening Post接收HTTP POST請(qǐng)求,將接收到的數(shù)據(jù)轉(zhuǎn)換為系統(tǒng)日志,然后將數(shù)據(jù)轉(zhuǎn)發(fā)到特定位置(例如Splunk)

在你的網(wǎng)絡(luò)載荷分布,或使用的防火墻限制允許的情況下你可以部署多個(gè)Listening Posts。

下面為使用Cmdlets安裝/配置Uproot Listening Post的清單:

Get-UprootLP - 在本地或遠(yuǎn)程計(jì)算機(jī)列出Uproot Listening Posts.
New-UprootLP - 在本地或遠(yuǎn)程計(jì)算機(jī)創(chuàng)建一個(gè)新的Uproot Listening Post.
Remove-UprootLP - 在本地或遠(yuǎn)程計(jì)算機(jī)移除Uproot Listening Post.
Restart-UprootLP - 在本地或遠(yuǎn)程計(jì)算機(jī)上重置Uproot Listening Post.
Start-UprootLP - 在本地或遠(yuǎn)程計(jì)算機(jī)上開(kāi)啟Uproot Listening Post.
Stop-UprootLP - 在本地或遠(yuǎn)程計(jì)算機(jī)上停止Uproot Listening Post.

注意:為了避免造成特權(quán)提升漏洞,我們建議在使用New-UprootLP命令前將uprootd.exe移動(dòng)到C:\Windows\system32\

簽名

只要有可能,使用Extrinsic事件替換Intrinsic事件。Intrinsic事件請(qǐng)求輪詢(xún),相對(duì)于Extrinsic事件需要更多的資源。

過(guò)濾

ActiveScriptEventConsumers

AS_GenericHTTP - Generic ActiveScriptEventConsumer for All Events (this is the recommended consumer) AS_ExtrinsicHTTP - Generic ActiveScriptEventConsumer for Extrinsic Events (Win32_ProcessStartTrace) AS_IntrinsicHTTP - Generic ActiveScriptEventConsumer for Intrinsic Events (Win32_ProcessCreation)

LogFileEventConsumers

LF_ProcessCreation_CSV_PSv2 LF_ProcessCreation_txt

Prebuilt Sigs

Basic - An example signature file

安裝模塊

Jakub Jare?寫(xiě)了一篇十分優(yōu)秀的文章來(lái)介紹如何安裝模塊,借著這篇優(yōu)秀的文章我們應(yīng)用到Uproot上。

打開(kāi)瀏覽器,并來(lái)到Uproot github page,你需要下載并提取模塊到你的模塊目錄下。

如果你使用IE下載這些存檔,在提取前你需要先打開(kāi)存檔,否則當(dāng)你導(dǎo)入的時(shí)候Powershell就會(huì)開(kāi)始罷工了喲。如果你使用的是PowerShell 3.0或更新版本,那你可以使用Unblock-File命令來(lái)進(jìn)行操作:

Unblock-File -Path "$env:UserProfile\Downloads\Uproot-master.zip"

使用老版本PowerShell的你,則需要手動(dòng)打開(kāi)文件。到下載目錄中右鍵單擊Uproot-master.zip并選擇“屬性”,在常規(guī)選項(xiàng)卡中單擊開(kāi)啟。

打開(kāi)你的模塊目錄,再創(chuàng)建一個(gè)名為Uproot的文件夾。使用下面的腳本你看毫無(wú)壓力的打開(kāi)正確的文件夾:

function Get-UserModulePath {
    $Path = $env:PSModulePath -split ";" -match $env:USERNAME     if (-not (Test-Path -Path $Path))
    {
      New-Item -Path $Path -ItemType Container | Out-Null
    }
     $Path }Invoke-Item (Get-UserModulePath)

將文檔提取到Uproot文件夾,完成這一步之后你應(yīng)該可以在文件夾下看到這些文件:

開(kāi)啟一個(gè)新的PowerShell會(huì)話(huà),然后使用以下命令導(dǎo)入U(xiǎn)proot模塊

Get-Module -ListAvailable -Name UprootImport-Module UprootGet-Command -Module Uproot

從現(xiàn)在開(kāi)始你就可以使用Uproot PowerShell模塊了。

栗子

安裝簽名文件

Install-UprootSignature -ComputerName (Get-Content .\hostlist.txt) -SigFile Basic

安裝本地Listening Post

Copy-Item $PSModulePath\Uproot\bin\uprootd.exe C:\windows\System32\uprootd.exe New-UprootLP -BinaryPathName C:\windows\System32\uprootd.exe Start-UprootLP -Server 192.168.1.100

安裝遠(yuǎn)程Listening Post

Copy-Item $PSModulePath\Uproot\bin\uprootd.exe \\LPHost\C$\windows\System32\uprootd.exe New-UprootLP -ComputerName LPHost -BinaryPathName C:\windows\System32\uprootd.exe Start-UprootLP -ComputerName LPHost -Server 192.168.1.100

移除本地Listening Post

Get-UprootLPStop-UprootLPRemove-UprootLP

移除遠(yuǎn)程Listening Post

Get-UprootLP -ComputerName LPHostStop-UprootLP -ComputerName LPHostRemove-UprootLP -ComputerName LPHost
DriverCreation - Intrinsic事件監(jiān)控系統(tǒng)驅(qū)動(dòng)的創(chuàng)建/注冊(cè) LoggedOnUserCreation -  NetworkConnectionCreation -  ProcessCreation - Intrinsic事件監(jiān)控進(jìn)程的創(chuàng)建 ProcessStartTrace - Extrinsic事件監(jiān)控進(jìn)程的創(chuàng)建 ScheduledJobCreation - Intrinsic事件監(jiān)控"AT"的創(chuàng)建/注冊(cè) ServerConnectionCreation -  ServiceCreation -  ShadowCopyCreation - Intrinsic事件監(jiān)控卷備份的創(chuàng)建 ShareCreation - Intrinsic事件監(jiān)控文件分享的創(chuàng)建 StartupCommandCreation -  UserCreation - Intrinsic事件監(jiān)控本地用戶(hù)的創(chuàng)建 UserProfileCreation -

分享名稱(chēng):Uproot:使用powershell編寫(xiě)基于主機(jī)的IDS
網(wǎng)頁(yè)路徑:http://www.5511xx.com/article/djcehep.html